CSRF is (really) dead

Scott Helme Security researcher, entrepreneur and international speaker who specialises in web technologies. More posts by Scott Helme. A little while back I wrote a blog post about how "CSRF is dead". It focused on SameSite cookies, a powerful yet simple feature to protect your website against CSRF attacks. As powerful as it was, and as much as it will kill CSRF, you had to enable it on your site

[ockeghem]

アプリ側でCSRF対策しなくても済む未来はもう少し先だと思います

[qtamaki]

従来のCSRF対策に代わる新たな手法としてSameSiteフラグというのがクッキーに追加されていて、Chromeでは既にデフォルトでONになってるよ。って話かな？それは素晴らしい！

[dozo]

CookieのSame Site属性でCSRFを撲滅する話

[tmatsuu]

ただしSafariは知らん

[mather314]

SameSite属性を付与したCookieは同じOriginからのリクエストにしか有効化しない、という処理をChromeではデフォルトで付けるようになるよ、という話か。さっさとデフォルトにしてほしい。

[ngyuki]

SameSite=Lax

[ono_matope]

Chrome 78からCookieのSameSite=Laxがデフォルト有効かつオプトアウト式に。主要ブラウザが対応して十分に普及すれば確かにCSRFトークンいらなくなるか。

[efcl]

SameSite CookieがChromeにデフォルトで入るのでCSRFがしにくくなるという話

[sawarabi0130]

はまちちゃん死す？

[tosebro]

おっ、またこの人。特定ブラウザだけサポートする状況は混乱しそうだけど、過渡期には仕方ない面もあるので個人的には歓迎する。

[surumedaka]

same site

[mozy_ok]

マジか Chromeではsame site フラグがあるから CSRFは使わんでもって話

[kijtra]

Postman での検証とか面倒になるやつ？

[yug1224]

SameSite Cookiesの対応でCSRFがなくなる話か

[mirucons]

SameSite は Chrome 78 からデフォルトオンになるのか。記憶に留めておかないとブラウザ間の差異によって痛い目見そう。セキュリティ的には素晴らしいんだけどね

[kw5]

まだデフォルト on にはなってない

[regularexception]

CLRFかと思った。

[udzura]

ワクチンの普及で病を根絶するみたいな

[fashi]

機械翻訳もできない

[master-0717]

“In the perfect world you'd enable SameSite by adding SameSite=Lax to your cookie, just like the Secure or HttpOnly flags.”

[tumo300-500]

“CSRF”

[shunt_i]

CSRF

[yo_waka]

CSRFに変わってcookieのSameSite属性で

[kakei-akihiko]

Cookieの挙動を変えたって、ログインのないサイトのCSRFはそのまま残るね。遠隔操作事件でCSRFくらって犯行予告投稿しちゃった人は逮捕されたし。